Visión General de la Campaña

La investigación de Kaspersky revela un esfuerzo de malvertising coordinado dirigido a personas que buscan herramientas de codificación asistidas por IA. Las consultas de búsqueda de términos como "Claude Code descarga" y "OpenClaw descarga" activan anuncios en la parte superior de la página que parecen legítimos. Hacer clic en estos anuncios redirige a los usuarios a sitios que imitan estrechamente las páginas oficiales de Anthropic's Claude Code y OpenAI's OpenClaw.

Los sitios falsos no ofrecen instaladores tradicionales. En su lugar, proporcionan fragmentos de código de línea de comandos que los usuarios deben pegar en el Prompt de Comando de Windows o la Terminal de macOS. Este método de entrega hace que la actividad maliciosa sea más difícil de detectar, ya que evita las advertencias típicas de los instaladores.

Carga de Malware

Dependiendo del sistema operativo, el código malicioso instala un infostealer diferente. Las víctimas de Windows reciben Amatera, una familia de malware conocida por recopilar datos de los directorios de los usuarios, los navegadores web y las billeteras de criptomonedas. Amatera ha sido observada en campañas anteriores que utilizan técnicas de distribución ClickFix y opera bajo un modelo de Malware como Servicio (MaaS).

Los usuarios de macOS se infectan con AMOS, un infostealer orientado a macOS que ha sido utilizado en numerosos ataques contra usuarios de Apple. Ambas variantes de malware están diseñadas para exfiltrar información sensible sin el conocimiento de la víctima.

Riesgos para los Desarrolladores

El experto en ciberseguridad de Kaspersky, Vladimir Gursky, enfatiza que la campaña es especialmente peligrosa porque las herramientas de desarrollo de IA como Claude Code y OpenClaw son ampliamente adoptadas por aficionados, entusiastas de la automatización y desarrolladores profesionales en grandes organizaciones. "Si se infectan, las víctimas pueden exponer inadvertidamente el código fuente de proyectos activos, datos corporativos confidenciales, credenciales de autenticación y cuentas privadas", nota Gursky.

El robo de código fuente y credenciales puede llevar a la pérdida de propiedad intelectual, acceso no autorizado a sistemas corporativos y robo financiero de billeteras de criptomonedas comprometidas. Las organizaciones que dependen de herramientas de codificación asistidas por IA, por lo tanto, están en un riesgo mayor.

Medidas de Protección

Los profesionales de la seguridad recomiendan a los desarrolladores que verifiquen la autenticidad de las fuentes de descarga antes de ejecutar cualquier código. Utilizar repositorios oficiales, verificar firmas digitales y evitar anuncios no solicitados puede reducir la exposición. Las empresas deben educar a sus equipos de desarrollo sobre la amenaza y implementar monitoreo de patrones de exfiltración de datos inusuales.

Al permanecer vigilantes y adherirse a las mejores prácticas, los desarrolladores pueden mitigar el riesgo que plantea esta sofisticada campaña de malvertising.

Usado: News Factory APP - descubrimiento de noticias y automatización - ChatGPT para Empresas